¿Por qué Debian no está creando el grupo 'rueda' por defecto?

24

Parece ser la tradición de Unix que un grupo de rueda se crea automáticamente, pero Debian (y los niños, naturalmente) no lo hacen. ¿Hay alguna razón en alguna parte? ¿Dónde más has visto esta tradición descartada?

debian group tshepang
fuente

Respuestas:

23

Algunos sistemas Unix solo permiten el uso de miembros del wheelgrupo su. Otros permiten que cualquiera lo use susi conoce la contraseña del usuario objetivo. Incluso hay sistemas en los que estar en el wheelgrupo otorga acceso a la raíz sin contraseña; Ubuntu hace esto, excepto que se llama al grupo sudo(y no tiene id 0).

Creo que wheeles sobre todo una cosa BSD. Linux es una mezcla de BSD y System V, y las diferentes distribuciones tienen diferentes políticas predeterminadas con respecto a la concesión de acceso a la raíz. Debian no implementa un grupo de rueda por defecto; si desea habilitarlo, descomente la auth required pam_wheel.solínea /etc/pam.d/su.

Gilles 'SO- deja de ser malvado'
fuente
1
rhel tiene grupo de ruedas y también sudo, en el que puede hacer que todo el grupo de ruedas no tenga contraseña. No estoy siguiendo tu punto, lo siento ..
holms
1
En Ubuntu 15.10, descomentar esta línea no restaura el grupo de rueda. Pero, puede duplicar el grupo "raíz" en / etc / group wheel:x:0:rooty modificar el archivo /etc/pam.d/su como auth required pam_wheel.so group=wheel, (eliminando el comentario anterior).
elika kohen
No necesita crear el wheelgrupo para utilizar el sudogrupo en su lugar para pamfines. Simplemente agregue group=sudodespués de la declaración. por ejemplo, para permitir que los miembros del sudogrupo suno tengan una contraseña, simplemente descomente / modifique la línea de la /etc/pam.d/susiguiente manera:auth sufficient pam_wheel.so trust group=sudo
David C. Rankin
Todo es cierto, y existe en Ubuntu 16.04 LTS, pero parece no ser el mismo que antes. sudoerses la forma de controlar esto ahora (septiembre de 2017).
SDsolar
@SDsolar Esto no ha cambiado en Ubuntu: /etc/sudoerssiempre ha sido la forma de controlar el acceso a la raíz. Pero como el valor predeterminado sudoerspermite que cualquier persona en el sudogrupo se convierta en root, puede controlar el acceso de root administrando la lista de usuarios que están en el sudogrupo.
Gilles 'SO- deja de ser malvado'
18

¡Porque la rueda es una herramienta de opresión! De info su:

Por qué GNU 'su' no es compatible con el grupo 'wheel'

(Esta sección es de Richard Stallman).

A veces, algunos de los usuarios intentan mantener el poder total sobre el resto. Por ejemplo, en 1984, unos pocos usuarios en el laboratorio MIT AI decidieron tomar el poder cambiando la contraseña del operador en el sistema Twenex y manteniéndola en secreto de todos los demás. (Pude frustrar este golpe y devolver el poder a los usuarios parcheando el núcleo, pero no sabría cómo hacerlo en Unix).

Sin embargo, ocasionalmente los gobernantes le dicen a alguien. Bajo el mecanismo habitual 'su', una vez que alguien aprende la contraseña de root que simpatiza con los usuarios comunes, puede decirle al resto. La característica de "grupo de ruedas" haría esto imposible, y así consolidaría el poder de los gobernantes.

Estoy del lado de las masas, no de los gobernantes. Si estás acostumbrado a apoyar a los jefes y administradores de sistemas en lo que sea que hagan, puede que esta idea te resulte extraña al principio.

Ver también la referencia de Debian . De todos modos, el sudogrupo está integrado, ¿quién lo necesita wheel?

Janus
fuente
11
No conozco la historia, pero dudo que esta cita sea la verdadera razón por la cual Debian no implementa el wheelgrupo de manera predeterminada. (Debian es sucompatible con el wheelgrupo, simplemente no está habilitado de manera predeterminada). De todos modos, el razonamiento de rms podría aplicarse al MIT en la década de 1980, pero no se aplica a la mayoría de los lugares donde no se puede confiar en todos los usuarios y la accesibilidad ubicua a Internet significa que la seguridad necesita protege contra atacantes de todo el mundo.
Gilles 'SO- deja de ser malvado'
Bastante bueno. Jaja
SDsolar